目标
使用本模块可以实现:
• 理解安全 WLAN 的关键组件及其工作方式。
• 定义安全 WLAN 解决方案的设计标准。
• 为安全 WLAN 生成一致的逻辑设计。
• 说明如何调整 WLAN 解决方案。
• 显示如何扩展建议的设计以建立其他网络访问解决方案。
适用范围
本模块适用于下列产品和技术:
• Microsoft® Windows® Server™ 2003
• RADIUS(远程身份验证拨入用户服务)协议
• Microsoft Windows Internet 验证服务
• Microsoft Windows 证书服务
• 802.1X WLAN 网络硬件
如何使用本模块
本模块在概念上概述了如何基于 802.1X 和可扩展验证协议(传输层安全 (EAP-TLS) 功能)来设计安全的 WLAN 解决方案。您可根据自己的情况按需调整解决方案的设计。
为充分理解本模块,请:
• 阅读模块制定安全无线网络策略。该模块可使您充分理解确保 WLAN 安全的不同方式。
• 基本理解 RADIUS 协议: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_ias_RADIUS.asp(英文)。
• 基本理解公钥基础结构 (PKI):http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx(英文)。
概念设计
如上一模块的讨论,无线网络本身有很多固有的严重安全缺陷。这些缺陷至多仅有一部分能通过 IEEE(电气与电子工程师协会)802.11 标准中指定的有线对等保密 (WEP) 来解决。建议的解决方案必须解决如何保证无线网络通信安全的问题。为此,理想的解决方案要有如下功能:
• 强健的无线客户端身份验证。包括客户端、无线访问点 (AP) 和 RADIUS 服务器间的相互身份验证。
• 具有可确定允许谁和不允许谁访问无线网络的身份验证过程。
• 使用访问控制来许可授权客户端的网络访问、拒绝未授权客户端的网络访问。
• 高强度加密无线网络通信流。
• 安全管理加密密钥。
• 具备拒绝服务攻击 (DoS) 的复原能力。
结合使用网络访问控制的 802.1X 标准与安全验证方法(如 EAP-TLS)可满足上述部分要求。高强度 WEP 提供了通信流的安全加密,但在密钥管理方面比较薄弱。Microsoft 和其他供应商已开发了基于标准的方法,可更安全地管理 WEP 加密密钥,并将其作为 EAP 身份验证过程的一部分。WiFi 保护访问 (WPA) 标准是行业标准集,其中包括了所有这些标准以及密钥管理(在其他改善中)的标准化协议(即所谓的“临时密钥完整性协议”(TKIP))。这是迈向 WLAN 安全的重大一步,并已受到大多数分析师的认可。
注意:在所有的 WPA 改进中,没有一个能解决 802.11 和 802.1X 的 DoS 缺陷。DoS 缺陷并不像 WEP 的其他任何缺陷那样严重,几乎所有论证过的 DoS 攻击都只导致临时的混乱。但它仍是某些组织极其关注的问题,也是 IEEE 802.11i 标准发布(2004 年某日)前不可能解决的一个问题。
尽管 Microsoft Windows XP 操作系统支持 WPA,但截至编写本解决方案之时,尚未有任何一家无线 AP 供应商发布支持 WPA 的产品。因此,本解决方案的设计旨在适于 Microsoft 动态 WEP 的实施和 WPA 的实施。前者受大多数供应商支持。为了达到这样的设计目的,后面将交替介绍两种方法。究竟选择哪一种方法对设计没有重大影响。
下表大致显示了选定解决方案(802.1X EAP-TLS 身份验证)的概念图表。
基于 802.1X EAP-TLS 身份验证的解决方案概念
图表描述了四大组件:
• 无线客户端。这是运行需访问网络资源的应用程序所在的计算机或设备。客户端可加密网络通信流、存储并安全交换凭据(如密钥或密码)。
• 无线 AP。在更通用的网络术语中,也称作“网络访问服务”(NAS)。无线 AP 可通过访问控制来允许或拒绝网络访问,并提供加密无线通信流的功能。此外,它还可安全地与客户端交换加密密钥,以确保网络通信流安全。最后,它可查询身份验证和授权服务,然后作出授权决定。
• 网络验证与授权服务 (NAAS) 过程。可存储和验证有效用户的凭据,并根据访问策略作出授权决定。此外,还可收集客户端访问网络的记帐信息和审核信息。
注意:NAAS 并非官方缩写,这里只是出于方便的目的。
• 内部网络。这是无线客户端应用程序要获得访问权的联网服务的安全区域。
图表中的数字说明了网络访问过程,下面将详细描述这些步骤:
1.在建立无线网络访问之前,无线客户端必须通过中央授权机构在某一点建立凭据。(也可借助一些特殊手段。例如,使用软盘交换;或在有线网络和其他安全网络中执行)。
2.当客户端要求访问网络时,它将凭据(更准确地说,是持有凭据的证物)传递给无线 AP,然后无线 AP 再将它们传递到 NAAS 中来请求授权。
3.NAAS 检查凭据并参考相关访问策略,然后授予客户端权限,或拒绝授权。
4.如果客户端已被授权,网络访问即被许可,客户端可安全地与无线 AP 交换加密密钥。(密钥实际上是 NAAS 生成的,之后通过安全通道传输到无线 AP 中。)如果客户端未通过 NAAS 的授权,网络访问被拒绝,不会发生进一步的通信。
5.通过使用加密密钥,客户端和无线 AP 在无线链路中建立了安全连接,客户端和内部网络间便具有了连通性。
6.客户端开始与内部网络中的设备进行通信。
下面的图表详细描述了这一过程。
图 2
802.1X EAP-TLS 访问过程
这个图表详细显示了各个组件。后面的章节将返回至本图作进一步扩展;但现在,您必须记下本方案所指的 NAAS 的几个子组件:证书颁发机构 (CA)、目录和 RADIUS。尽管从概念上讲,这些子组件执行的是相对简单的任务集,但要使用一种可伸缩、可管理、可靠的方式来安全地执行这些操作,则需具备相当复杂的支持基础结构。在本指南的其他模块中,大部分的规划、实现和管理内容都涉及这些方面。
解决方案设计标准
描述了本解决方案的基本概念之后,必须提出它的关键设计标准。这些内容提供的相关指导可将解决方案概念转化为可真正实现的设计。
为此,必须勾画出本解决方案适用的目标组织简要描述。
目标组织
本节的组织描述仅限于提供设计标准的上下文。如果要评估组织解决方案的适用性,应重点关注设计标准是否有意义,而不是组织是否与下面的描述相似。
目标组织可能已在某些位置部署了 WLAN,以期最大限度降低网络基础结构成本,并增加员工的活动能力和生产效率。组织可能在安全需求方面有更明确的认识,并已部署了若干技术来增强信息技术 (IT) 的安全性。例如,域身份验证、Internet 防火墙、病毒扫描程序、远程访问和虚拟专用网 (VPN) 解决方案。组织很有可能长期规划使用大量其他高安全应用程序(如文件加密和安全电子邮件)。
该组织的逻辑/物理网络布局类似下图(大大简化)。
图 3
目标组织网络和物理布局示意图
尽管仅显示了一个大的外部办公室和一个小型外部办公室,但实际上,每种办公室都可能有几个。为了清晰起见,图中仅显示了少量的服务器和客户端,但这并不代表组织的规模。
在一定限度内,目标组织的大小对解决方案设计标准的影响相对较小。如果规模较小,总部可能有几百位员工,分部有数十位员工。如果规模较大,总部员工可能有数千位员工,外部办公室也有数百位员工。通常,两类组织都有小办公室,办公室里员工不多。
组织要求
像上面描述的组织一般都有如下几种解决方案要求:
• 增强 WLAN 的安全性,消除或充分减少下列威胁:
• 入侵者窃听 WLAN 中的数据传输。
• 入侵者截获并修改 WLAN 中传输的数据。
• 入侵者或其他未授权用户连接到 WLAN 中,并将病毒或其他恶意代码引入内部网络。
• 网络级(非广播级)拒绝服务 (DoS) 攻击。
• 侵入者寄生在公司的 WLAN 中以获取 Internet 访问。
• 安全措施不应冲击网络的可用性,不应引起技术支持呼叫的急剧增加。
• 部署和持续管理的成本必须足够低,以维持合理的开销。因为只有相对较少的 WLAN 用户(不到全体员工的 10%)使用该解决方案。
• 设计必须广泛支持各种各样的客户端和设备。
同时,通常还有很多其他更常规的技术要求:
• 单组件故障的复原能力。
• 提供一定的伸缩性供将来的高级用途(考虑到扩展,应超出现有全体员工的 100%);支持用户数量增长的成本应最小,或
